一、明确工业和信息化领域重要数据及核心数据的出境安全评估要求
二、工业和信息化领域数据的分类分级管理制度
三、数据出境安全评估申报
四、违规数据出境的法律责任
五、数据出境活动的三种情形
六、适用数据出境安全评估的场景
七、数据出境监管下的重要数据、核心数据
八、数据出境安全自评估重点事项
九、数据出境活动整体情况自评估说明
十、数据出境安全评估申报流程
十一、数据出境自我评估及持续监测
工业和信息化部于2022年12月13日发布的《工业和信息化领域数据安全管理办法(试行)》(以下称“管理办法”),将于2023年1月1日起施行。国家互联网信息办公室(“国家网信办”)7月7日发布的《数据出境安全评估办法》(以下称“评估办法“),8月31日发布的《数据出境安全评估申报指南(第一版)》(以下称“申报指南“)均已于2022年9月1日生效。
管理办法明确定义了“工业和信息化领域数据”、“工业和信息化领域数据处理者”。
工业和信息化领域数据包括工业数据、电信数据和无线电数据。
针对工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的情形,规定应当在境内存储。非经工业和信息化部批准,工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。如若确需向境外提供的,应当依法依规进行数据出境安全评估[1]。
管理办法明确数据分类分级管理制度,工作和信息化领域数据分为一般数据、重要数据和核心数据。同时明确由工业和信息化部组织负责制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,制定行业重要数据和核心数据具体目录;地方行业监管部负责确定、更新本地区重要数据和核心数据目录并上报工业和信息部;工业和信息化领域数据处理者负责将本单位重要数据和核心数据目录向本地区行业监管部门备案。
根据评估办法[2],数据处理者应当在2023年3月1日前完成2022年9月1日前已经开展的不符合规定的数据出境活动的整改。因此建议企业应及时梳理并审查对其此前及现在的数据出境活动,开展数据出境安全评估并尽早整改不合规情况。
对于通过数据出境安全评估的结果有效期2年届满之后,仍需要继续开展数据出境活动的情形,数据处理者应当在有效期届满60个工作日前重新申报评估。
此外,在国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求,书面通知数据处理者终止数据出境活动的情况下,数据处理者要继续开展数据出境活动的,则应当按照要求整改,整改完成后重新申报评估。
依管理办法规定,行业监管部门有权按规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改。针对违反管理办法的行为[3],行业监管部门可以根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。
评估办法第二条规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的情形应进行安全评估。属于数据出境行为的情形,如申报指南规定,包括:
(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外。如境内的数据处理者通过传输、存储、上载、递送等动作,将其在境内运营中收集和产生的数据提供至境外,包括通过软件或硬件介质等方式,如电子邮件、U盘、移动硬盘、笔记本电脑等;
(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。如访问包含重要数据或个人信息的公开网页、境外主体在境外对存储于境内的数据进行访问、下载或调用;
(三)国家网信办规定的其他数据出境行为。
数据处理者需要审查其数据出境活动是否触发评估办法规定的数据安全评估申报,需要注意的是,如跨国企业或跨境商业活动中的日常工作的文件或数据跨境传输,包括电子邮件往来、境内/增外服务器或数据库信息的传输及调用。如前所述数据出境行为包括数据处理者将在境内运营中收集和产生的数据传输、存储至境外;以及数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出。
按评估办法规定,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估[5]的情形,包括:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者CIIO和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
关于重要数据的定义,评估办法中规定是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。《信息安全技术重要数据识别指南》中,重要数据(criticaldata)指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据“。需要注意的是,重要数据不包括国家秘密和个人信息。而基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
识别重要数据的原则,包括聚集安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评等[6]。如从聚集安全影响原则出发,从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据。
识别重要数据的考量因素[7],还包括反映国家战略储备、应急动员能力的情形,如战略物资产能、储备量属于重要数据;还包括反映群体健康生理状况、族群特征、遗传信息等的基础数据的情形,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;包括其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据等。
管理办法中,以“根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度”作为工作和信息化领域数据的分级依据,分为一般数据、重要数据和核心数据。
工业和信息化领域重要数据,是指危害程度符合下列条件之一的数据:
(二)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;
(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
(五)经工业和信息化部评估确定的其他重要数据。
工业和信息化领域核心数据,是指危害程度符合下列条件之一的数据:
(二)对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;
(三)对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等;
(四)经工业和信息化部评估确定的其他核心数据。或可以理解为,向境外提供除了管理办法第九条规定的一般数据之外的其他工业和信息化领域数据,较大可能属于应当依法依规进行数据出境安全评估的重要数据、核心数据。
数据出境安全评估包括两步骤:先自行开展自评估,然后再提出申报,由网信部门进行数据出境安全评估。在向境外提供数据之前、在申报数据出境安全评估之前,数据处理者应事先开展数据出境风险自评估,逐项说明风险评估情况,重点说明评估发现的问题和风险隐患,以及所采取的整改措施、整改效果。
数据处理者提供的自评估报告应说明数据出境活动整体情况。即详细说明数据处理者的基本情况及其安全保障能力;描述数据出境涉及业务和系统的情况;写明拟出境数据的情况;描述境外接收方的情况,包括基本情况、处理数据的用途、方式、数据安全保障能力、所在国家或地区的数据保护环境等;描述数据出境法律文件及其约定的数据安全保护责任义务情况等。
数据出境安全评估结果有效期为自评估结果出具之日起2年。数据处理者应当持续对其数据出境行为进行自我监测和审查管理,以避免或防范前述事项发生,或及时采取应对或弥补措施,必要时重新评估。
在有效期两年内出现以下情形之一的,按评估办法规定应当重新申报评估:
注释(上下滑动阅览)
【1】《工业和信息化领域数据安全管理办法(试行)》第二十一条,工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
【2】《数据出境安全评估办法》第二十条,本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。
【4】《中华人民共和国数据安全法》第四十六条。《中华人民共和国数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
【5】《数据出境安全评估办法》第四条
【6】《信息安全技术重要数据识别指南》(征求意见稿),2022年1月27日
【7】《信息安全技术重要数据识别指南》(征求意见稿),2022年1月27日
【8】《数据出境安全评估办法》第五条
【9】《数据出境安全评估申报指南(第一版)》
【10】《数据出境安全评估办法》第十条
董红曼,上海德禾翰通律师事务所管理合伙人、律师。
联系方式:hmdong@dehehantong.com
作者简介
夏思秋,上海德禾翰通律师事务所专利代理师。
联系方式:sqxia@dehehantong.com
新媒体合作请联系Sharon
作者:董红曼夏思秋
编辑:Sharon
2024-11-15
2024-11-14
关于我们
知产前沿(IPForeFront)是上海益鹏商务咨询有限公司(YIPEvents)旗下聚焦知识产权领域全媒体资讯平台,追求深度、高质量、原创性知识产权政策解读、案列解析、国内外知识产权领域前沿动态等。
上海益鹏商务咨询有限公司(YIPEvents)成立于2014年8月,一家专注于知识产权领域国际性会议策划主办机构,致力于推动国内外知识产权政策发展、挖掘行业细分领域的知识产权挑战与机遇、赋能行业创新升级,为知识产权从业人员搭建高质量、高行业参与度、高时效性的行业沟通、学习、交流、合作、共享平台。